网际威信替您的电子商务网站安全把关

PAGE2..PAGE2.v.网际威信SSL技术白皮书之一网际威信SSL技术白皮书之一网际威信替您的电子商务平安把关平安在线商务的逐步指引网际威信替您的电子商务平安把关平安在线商务的逐步指引一、简介以网络进展交易的商业经营模式，优点在于能以极低代价就可获得许多消费者的注意。然而，就像所有其它的行销通路一样，网络交易本身具有假设干平安上的考量。这是经营者在推动业务之初就应该考虑并设法排除的一大问题。您需要知道，网络上的客户仅有在确信他们所传送的个人信息(如信用卡号、财务数据、病历等…)能获得隐私保障的前提下才有可能与您进展网络交易。网际威信HiTRUST为VeriSign在中国唯一授权认证中心。身为提供平安电子交易、平安电子通讯的业界领导者，为您提供低本钱、且效果卓著的在线商务平安解决方案。只要安装VeriSign平安效劳器数字证书到您的效劳器上，您就可以平安地在网络上接收并传送各种敏感的信息。不但您客户的私密数据及其交易过程可获得保障，更可藉此加强客户的信心，广增客源。只要您安装平安效劳器数字证书〔SecureServerID〕，马上就可以与所有客户建立起平安的SSL通讯模式，而且不管客户使用的浏览器程序是网景公司或微软公司的产品都可以。Fortune500大企业，以及其它超过十八万个经营出色的电子商务，如Amazon.、CharlesSchwab、Cisco、Dellputer、E*Trade、FedEx、Microsoft、Netscape、NetworkSolutions等，及国内各大网络券商、银行、ISP、通讯业者、旅游业者、保险业者、网络商家等超过300家客户都已经在使用这种系统了。VeriSign平安效劳器数字证书也是优质形象的表征之一。根据1999年1月StudioArchetype与CheskinResearch的调查报告，VeriSign平安效劳器数字证书是上常见的九种提高客户信赖的标志中〔如TRUSTe,Lycos,CyberCash等〕，最具公信力且最能让拜访者信赖的标志。本文将详细说明平安的各种问题，并介绍VeriSign在解决这些问题时所用到的技术。另外也提供了如何取得及安装VeriSign平安效劳器数字证书的逐步指引说明。当您阅读过本文之后，我们欢送您至网际威信.hitrust.申请平安效劳器数字证书。二、以平安强化您的商务竞争力平安的可以让您在进展在线交易时具有强势的竞争优势，以及一气呵成的在线业务处理流程。适用的业务范围如保险业、中介业、信用卡业等。尤其信用卡业务更是一片潜力无穷的市场，根据一项中立的分析报告指出，在公元两千年以前，以信用卡在因特网上所进展的交易金额将到达美金九十亿美元，而在公元两千零五年时更可一举到达三百亿美元。这么庞大的市场潜力，有谁能无视？假设要在这庞大的市场中抢得致胜的先机，您必须先认知到因特网平安性的问题，并采用能有效弥补网络平安漏洞的技术，进而赢得客户的信心。本文将详细描述电子商务的优点，以及表达得到电子商务优点前所必须解决的网络平安问题。开发客源当您在网络上提供商品时，可以获得以下的优势：能见度提升：电子商务最吸引人的一个地方就是能透过无远弗届的网络开发出新的客源。简单的说，每一个能够上网络的人都是您的潜在客户，目前全球已经有超过五千万个网络族在进展电子商务交易了。另外，是没有营业时间限制的，更不必投下资金，大兴土木去建筑传统的商店门面。市场占有率：根据YankelovichPartners(.cpawebtrust./developer/dvlp_content.html)最近一次的调查报告指出，百分之八十五的网络族基于网络平安性的缺乏，让他们不敢在网络上传送信用卡来进展电子交易。天下杂志1998年网络调查报告亦表示网络平安性与真实性是**的网络使用者对网络交易的二大顾虑。假设您可以赢得这些客户的信心就能赢得他们的忠诚度，并可为您带来无穷的商机与进军庞大电子商务市场的优势。低本钱，高效率的行销通路：许多产品及效劳，如软件业或信息效劳业者，皆可透过直接将产品或效劳送到客户手上。这样的作法不但可以节省客户的时间，也可以降低您的经营本钱。因为传统的运输及物流本钱，跟营运人员的经常性支出都可因此而降低，您将可获得更高的利润。一气呵成的作业程序：传统以白纸黑字的工作流程不但容易出错，且经常有延误的状况出现。以保险业、中介业、信用卡业为例，客户的申请件都是透过邮寄的方式来处理的，当您收到客户的申请件时，不但需花费时间建立客户电子档案数据，后续的效劳更须仰赖庞大的人力才行，且人工操作容易出错。假设透过平安来进展上述的应用环境，不但可以加速客户申请的处理时间，降低处理本钱，更可加强对客户的效劳。抓住客户的心，赢得更多商机：拥有网络商店可以让您获得一对一式的行销模式，或针对个别客户所需而量身订作出适宜的产品或效劳。这有别于传统针对群众市场的所做的行销取向。更重要的是，透过的运作可以撷取到客户的年龄层分布数据、消费习惯以及偏好。藉由分析这些信息，您将可以更精准地掌到握客户的消费动向，进而推出最能打动网络族消费意愿的产品或效劳，或将的经营方向调整为参观您的特定消费族群，在竞争中找出一条自己的路线，建立最有效率的营运方针。替电子商务的平安性把关在传统面对面式的交易过程中，平安性系建立在实体的根底上。以在百货公司进展消费为例，由于客户可以见到实际的商品及处理过程，因此他们不会认为将信用卡交付店员进展结帐有任何不妥的地方，因为客户可清楚的看到其信用卡并没有遭到第三者盗用。然而在虚拟的网络商务环境下，由于缺乏眼见为凭的先天限制加上网络平安性的漏洞，客户不可防止地会衍生出相当的疑虑而裹足不前。网络平安的问题，实不容无视。所幸，目前已有解决网络平安问题的技术了，请想想以下这些可能出现的网络平安问题。诈欺：由于架设一个所需的技术层次及本钱都不高，且复制现有的内容和图片也很容易。因此，要建立一个看似正派经营，但实际却是骗局的来鱼目混珠其实是很容易做到的。事实上，网络上已经出现由不肖业者所建立以假乱真的假网络商店来骗取民众信用卡的案例。非法揭露：当交易的信息以「非加密文字」的透明形式传送时，网络骇客将有时机拦截并读取您客户的**信息内容。非法破坏：您的竞争对手，或心存不满的客户可能恶意窜改，导致您的业务停摆，甚至瘫痪整个运作。数据窜改：交易信息可能在传送的途中遭受有意或无意的窜改。容易遭受窜改的数据项包括使用者名称，信用卡、交易金额等…三、平安的保卫者：VeriSign平安效劳器数字证书一种能有效保障在线交易平安，价格又低廉的网络平安技术已经问世！它称为VeriSign平安效劳器数字证书。VeriSign的数字证书已经获得全球电子商务界的认同，包括Fortune五百大企业，以及由RelevantKnowledge,Inc.所排名的前四十大全球商务皆已采用VeriSign的效劳器数字证书。VeriSign在全世界已签发超过十八万个效劳器数字证书了。本文将描述VeriSign平安效劳器数字证书的运作方式以及如何平安地进展网络交易。出示VeriSign平安效劳器数字证书以赢得客户信任效劳器数字证书(ServerID)，也可称为数字证书(digitalcertificate)就像电子形式的营利事业登记证。效劳器数字证书系由一个受信任的第三者所发放，它被称为认证中心(CertificationAuthority)。VeriSign为世界最顶尖的专业认证中心，在全球已发放超过十八万个平安效劳器数字证书。发放效劳器数字证书的认证中心确认并公布您在因特网上使用公司名称以及网址的权利，就像内政部所颁发的营利事业登记证一样。另外，认证中心也可以发放个人数字证书给个人使用。由于网际威信HiTRUST是VeriSign在中国唯一授权认证中心，在发放效劳器数字证书之前，网际威信必须先要求申请者提供假设干信息，例如公司的统一编号、公司执照、营利事业登记证等，并采取其它可以确认申请者确实非冒名顶替的辨识程序。完成申请者身份确实认动作后，网际威信才会发放数字证书。藉由出示效劳器数字证书，您的身份将获得有力的证明，或获得存取信息的权利。由于VeriSign向来以严谨的核验作业著称。所以，获得VeriSign发放效劳器数字证书的在全球网络中一向具有被信任的特殊地位。事实上，根据1999年1月StudioArchetype与CheskinResearch的调查报告，VeriSign平安效劳器数字证书是全球上常见的九种提高信赖的标志〔如TRUSTe,Lycos,CyberCash等〕中，最具公信力且最能让拜访者信赖的标志。而且，VeriSign为全球唯一获得KPMG稽核通过SAS70标准的电子认证中心(StatementofAuditingStandard70标准，系由极具公信力的美国执业会计师公会AICPA所制定用来查验信用实务的作业标准)。同样地，网际威信的作业流程亦需定期依此标准被稽核以维持公信力。身为一个具公信力的第三者机构，也为VISA及MasterCard全球数百家发卡银行和收单银行担任幕后的SET数字证书处理中心，VeriSign在实体设施及电子平安机制的规划上一向十分慎重，且已获得业界极高的评价。举例来说，VeriSign用来发放及保管客户金钥的基地共占地两万两千平方英尺，且至少要通过五道平安防护措施及三道指纹辨识的过程才得以进入。四、数字证书如何运作在真实世界中，身份的辨识或鉴别程序以及隐私权等问题的保护是透过实体戳记的方式来完成的，例如使用印鉴或签名。然而，在电子形式的环境中，戳记却必须被嵌入至讯息的本身，藉由查验电子形式之「签章」的存在与否及其完整性，接收讯息者才得以信任讯息发送者，以及相信讯息并未在传送途中遭到窜改。VeriSign采用先进的加密技术，让电子沟通环境也能享有真实世界般的平安性。传统上，大多数的秘密讯息皆是透过单向加密技术〔或对称式加密〕传递的。单向加密技术是近数十年甚至数世纪来最常被使用的加密方式。在单向密码法中，进展加密与解密动作都是由一个独一无二的码(又称为金钥)所完成。这种加密方式的实际运作模式如下：假设Bob拥有一支金钥，而Alice要对Bob传送一封私密的讯息。1.Bob将他的金钥的副本传递给Alice。2.Alice以Bob的金钥对讯息加密。3.Bob收到后再用他的金钥解开讯息。很不幸的，上述的运作方式有数种瑕疵。首先，Bob必须先找到一个能平安传递金钥给Alice的平安通道，假设此金钥在传送途中被拦截，那么整个通讯过程都将受威胁。第二，Bob必须完全信任Alice。假设Alice是一个双面间谍，那么她可能将Bob的金钥交付给他的敌人，或者Alice自己就可以阅读到Bob的私密讯息甚至冒名顶替Bob的身份。最后，假设您身处在一个必须与很多人交换秘密讯息的环境中，对不同的人用不同的金钥，那么金钥数量将不断增加。或者，您也可以使用较少数量的金钥，但那将使讯息的平安性大幅降低。VeriSign平安效劳器数字证书采用了较先进的公开金钥密码法技术〔或非对称式加密〕。在这种加密方式中，私密金钥并不必分享。平安效劳器数字证书系采用一对互相对应的金钥对(keypair)，而不是让加密及解密动作皆使用一样的金钥。换句话说，当讯息以其中一把金钥加密时，只有与之相对应的另一把金钥才可以进展解密。当金钥对被产生之后，其中由使用者自行保管的金钥就叫「私密金钥」，可公布在网络上的金钥就叫「公开金钥」。「私密金钥」即可安装在网页效劳器上，没有第三者可以取用此私密金钥。而与此私密金钥相对应的「公开金钥」那么随着平安效劳器数字证书公开地流传出去。您可以把公开金钥分享给任何一个人，甚至公布在目录中任人撷取。到此，任何一个想跟您进展秘密通讯的客户或个人就可以利用您的公开金钥来对讯息进展加密的动作，也只有拥有私密金钥者才可以对此被加密的讯息进展解密的动作。在VeriSign平安效劳器数字证书中，包含了您的公司名称以及辨识信息、公开金钥以及由VeriSign所加签的数字式签章。它可以对客户宣示此公开金钥确属于您所拥有。保障在线交易、免投资任何硬件VeriSign的平安效劳器数字证书与SSL(SecureSocketLayer)技术严密的结合在一起。SSL技术系标准的平安通讯协议。假设您使用的效劳器软件来自以下这些公司：ApacheFreeware、C2Net、IBM、莲花(Lotus)、网景(Netscape)、微软(Microsoft)、OpenMarket等…您将可立即申请并安装VeriSign的平安效劳器数字证书。当您安装VeriSign平安效劳器数字证书之后，SSL机制即可马上启动。当您安装过数字证书之后，效劳器即可开场使用SSL的加密功能。SSL可以在您的效劳器与客户的浏览器程序间建立起一个平安的沟通管道。您将可以与使用网景领航员(NetscapeNavigator)、微软探险家(MicrosoftInternetExplorer)或是其它各种电子程序的客户进展平安的通讯。只要您一启动平安效劳器数字证书，SSL随即提供下面这些平安在线交易的功能：鉴别机制：客户可藉由查验您的VeriSign平安效劳器数字证书而确信此确属合法机构所拥有，而非进入一个冒名顶替的假。有了这样的信心，客户将更有意愿也更有信心在您的上传递私密的信息。讯息隐私性：SSL机制会使用一把特定的阶段金钥(Sessionkey)将效劳器及客户间的所有通讯内容加密。为了要将此金钥平安地传递到客户手上，效劳器将使用您的公开金钥对它加密。每一把SessionKey只会针对单一客户的单一通讯阶段使用一次而以。透过这种层级式的严密保护，就算信息内容在传递途中遭到拦截，拦截者也将仅能获得无意义的阶段，即乱码，而无法窥探到讯息的真正内容。讯息完整性：当讯息送出之后，发送端与接收端的计算机皆会产生一个以此讯息内容为根底的特殊码(code)。假设讯息中有任何一个文字在传送后被更动过，那么接收方的计算机将产生不一样的特殊码，并警告收讯者此讯息可能已在传输过程中被窜改正。藉由这种查验讯息完整性的运作模式，通讯的双方皆可以确信接收到的讯息确实是一字不改地来自发讯者。下列图说明了效劳器与客户之间进展平安通讯时的模式。只要几秒钟的时间，效劳器数字证书的交换工作即可完成，而客户并不需要进展任何额外的动作。VeriSign平安效劳器数字证书的最重要任务就是让客户与您能进展平安又互信的在线交易。简单的说，客户可以确信他们所传递的信息将会到达一个合法的，而不是一个假。就您而言，也可以确信客户所传递的信息或订单皆是正确的，更可防止日后与客户可能发生的纠纷。让在线商务更简单安装平安效劳器数字证书不但可以让进展电子商务的客户觉得交易更具平安性，它也可以让传送信息(如信用卡)的过程变得更简单。网景领航员与微软网络探险家程序皆已内建平安功能，可以防止使用者无意间在因特网上的不平安通道中传递私密的个人信息出去。举例来说，当使用者在欲在不平安的(没有安装平安效劳器数字证书的)中送出个人信息时，上述的浏览器程序将会自动出现如下的一个警告讯息窗口，用以告知使用者此动作是不具平安保护的。相反的，假设使用者将信用卡或其它的私密个人信息传递给一个拥有合法平安效劳器数字证书以及SSL机制的平安，上述的警告讯息将不会出现，而会出现类似如下的讯息，告知您将进入SSL平安模式。如果您登入的虽拥有效劳器证书，但该证书却是由不明的认证单位所签发，例如该证书是经营者自行制作或测试用的证书，因此不被您使用的浏览器信任，您的浏览器将会出现类似如下的警告讯息。因为VeriSign的根节点公开金钥〔RootKey〕已内建在各主要浏览器软件内，所以网际威信所签发的平安效劳器数字证书如同全球护照，通行国际，几乎全世界的浏览器软件皆予以信任。由于如此的平安通讯模式对客户端而言是完全透明的，因此使用者在进展在线购物时丝毫不觉麻烦。另外，当您安装VeriSign平安效劳器数字证书之后，全球超过一亿个网景领航员以及微软网络探险家程序的用户将可确信您的是平安的。在网景领航员程序3.0版或之前的版本中，位于窗口左下方会有一个平常为断裂的钥匙状图标，在平安模式下就会出现一完整钥匙状的图示。而在4.0版或是较新版本的微软探险家程序中，有一个原为开启的门栓图示将被锁上。如下列图所示。五、网际威信HiTRUST提供其它一系列效劳可让您的网络业务更方便、更平安当您完成平安的架设之后，您还可以选用一系列由网际威信所提供的效劳以便强化您的电子商务作业。透过网际威信免费的平安认证(SecureSite)方案吸引更多客户假设您成为网际威信HiTRUST平安认证的一员，您将被允许在上标示平安认证的戳记〔如下列图示〕，这项效劳是免费的。当您的客户点选该戳记时，他们将获得详细的在线平安信息，以及如何查验您的数字证书是否合法的指引。这是专为注重网络平安的客户所设计，以提升合法电子商务形象为目的的方案。透过客户鉴别(clientauthentication)的程序，让您更了解客户平安效劳器数字证书具有对客户宣示身份的功能。但当您也想更了解您的客户，或限制仅有某些客户才能使用某些特定的资源时该怎么办呢？也许您已注意到个人密码有容易遭到复制盗用或共享的缺点，其实您可以利用VeriSign针对个人所设计的个人数字证书(VeriSignServerIDsforIndividualUsers)来鉴别客户的身份。跟传统要求客户输入使用者名称及密码的方式比拟下，个人数字证书的注册程序不但更简单，且您也可以搜集到更多有关于客户的实用信息。请至.verisign./clientauth/，这里有关于如何取代密码来鉴别客户的示范及更多的相关信息。更平安的国际电子商务至目前为止，长度达128位的加密技术仅允许有限制的对外输出。美国商务部也已经核准VeriSign使用128位加密技术发行更高平安程度的数字证书，这是目前全美国所允许的最高加密等级。VeriSign是美国唯一获得此出口许可的认证中心。有了VeriSign全球效劳器数字证书(VeriSignGlobalServerID)，当其它国家的客户参观您的时，无论所使用的浏览器软件是何种平安等级，他们将马上可以享用128位无与伦比的平安机制。VeriSign全球效劳器数字证书适用对象为全球的银行及金融机构，它比其它任何产品更具平安性。网际威信将于1999年第四季开场，对国内的客户提供此产品。假设想知道更多有关于VeriSign128位的全球效劳器数字证书相关信息，请至.verisign./server/index.html。六、结论由于因特网的无远弗届，电子商务已经成为另一项潜力无穷的行销及生财管道。藉由在网络上设置商店，您的业务触角将延伸至全球超过五千万个已经在进展电子商务的客户中。假设能确保在线付款的平安性，您能把营运风险降到最小，并将业务拓展至一个规模无比庞大的市场。(注：目前有百分之八十五的因特网使用者，基于网络平安性的考量，而不敢轻易尝试电子交易。)VeriSign平安效劳器数字证书可以让您马上进展具有平安防护的在线交易。它主要提供鉴别(authentication)、讯息隐密性(messageprivacy)、讯息完整性(messageintegrity)等功能。总之，拥有效劳器数字证书，您将可以把在线交易的风险降到最低，并获得客户的信心与强化您的业务竞争力。逐步指引开场之前在您开场进展在线注册程序之前，请先确认您已完成以下的事项：安装效劳器软件：几乎所有效劳器软件皆已支持VeriSign的平安效劳器数字证书。请洽询您的软件厂商以便确认您的效劳器软件可以正确支持效劳器数字证书。注册区域名称：假设您尚未申请注册网域名称(domainname)，请至申请。确认防火墙(firewall)组态：当您进展平安效劳器数字证书的注册作业时，请确认您可以用HTTP跟HTTPS这两个通讯协议连接到网际威信的.hitrust.。选择付款方式：支票给付或电汇方式。阅读使用条款：在您注册的过程中，您必须同意并签署VeriSign平安效劳器数字证书合约。假设您想现在就阅读此条款的内容，请至.hitrust..。准备权利证明文件：在网际威信发放平安效劳器数字证书给您之前，必须先确认您的系合法的，且已在政府有关单位注册过。所以您必须提供以下文件的副本：营利事业需出示公司执照及营利事业登记证影本，非营利事业如财团法人需出示财团法人成立登记证书影本，政府单位那么需出具公文等。取得您的平安效劳器数字证书请至.hitrust../product/c3/serverID/serverID_info/enrollment_flow.htm，您可以这个网址获得注册平安效劳器数字证书的详细注册指引。大致步骤如下。产生证书签章要求(CSR)：首先在您的上，使用效劳器软件产生证书签章要求(CSR)及金钥对两个档案(请参阅您效劳器软件的说明手册)。当效劳器软件产生上述两个档案之后，请将这两个档案备份到磁盘片上。这个备份的步骤很重要：因为万一您的私密金钥遗失，本公司也无法替您回复。将证书签章要求传送至网际威信：请使用纯文字编辑程序(如记事本、wordpad等)来开启CSR档案而不要使用其它文书处理程序，如WORD或AdobeFrameMaker。将CSR档案中的内容选取，包括起始及完毕这两行，如下所示：